Java工程报错：Refused to display URL in a frame because it set X-Frame-Options to deny及问题详解

最新推荐文章于 2025-03-15 16:17:06 发布

原创最新推荐文章于 2025-03-15 16:17:06 发布 · 2.8k 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#spring boot #后端 #java

Java开发常见BUG解决方案专栏收录该内容

58 篇文章

订阅专栏

该文章已生成可运行项目，

1、问题概述？

在springBoot中使用了Layui框架的选项卡，但是今天引入了springSecurity权限框架后，登录成功，再次点击选项卡的时候出现了如下问题：

这是springSecurity5.7后引入的新安全策略,以保护网页不受点击劫持（clickjacking）攻击的影响.

问题1：localhost已拒绝访问

问题2：浏览器控制器出现如下bug

2、原因分析

这是springSecurity的一种安全策略，放置恶意注入，设置了 X-Frame-Options 只为deny,所以提示报错：Refused to display URL in a frame because it set X-Frame-Options to deny。

从浏览器的请求中可以看到参数设置：

X-Frame-Options选项设置如下几种情况：

1、DENY 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。

2、SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。

3、ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示(好像去除了)。

3、项目配置？

配置起来总体较为简单，在springSecurity配置如下信息：

【配置方式：较为简单，直接关闭这个安全策略】


http.headers().frameOptions().disable();
http.headers().frameOptions().sameOrigin();
http.headers().frameOptions().deny();

本文章已经生成可运行项目

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

雾林小妖

关注关注

7
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

uni-app - Refused to display ‘xxx‘ in a frame because an ancestor violates the following Content Sec

🏆 前端领域优质创作者

07-19

5557

uni-app-Refusedtodisplay‘xxx‘inaframebecauseanancestorviolatesthefollowingContentSec

Django：六、使用iframe标签内嵌页面报错；拒绝了我们的连接请求；because it set ‘X-Frame-Options‘ to ‘deny‘.

浩栋的博客

09-21

9242

使用iframe标签内嵌页面报错；拒绝了我们的连接请求；because it set 'X-Frame-Options' to 'deny'.

参与评论您还未登录，请先登录后发表或查看评论

Refused to display ‘http://...‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.解决方式

热门推荐

kejizhentan的博客

02-06

2万+

在使用springsecurity时候经常会出现Refused to display ‘http://localhost:9999/admin/toAdminWelcome’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.错误，只需要做以下设置即可： http.headers().frameOptions().sameOrigin(); 有时候为了防止网页被别人的网站iFrame,我们可以通过在服务器设置HTTP头部中的X-Frame-O.

浏览器 in a frame because it set ‘X-Frame-Options‘ to ‘deny‘

java_han的专栏

03-26

1854

在用spring boot项目时，整合了springSecurity框架，结果iframe中界面无法显示出来，按F12查看问题，结果显示访问的界面有in a frame because it set 'X-Frame-Options' to 'deny'提示，解决办法如下: 在我的SecurityConfig类的configure方法中，增加头设置http.headers().frameOptions().sameOrigin();，如下所示: public class WebSecurity.

Refused to display ‘http://localhost:xxxx/‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.

林深不见鹿

02-09

3143

Refused to display 'http://localhost:xxxx/' in a frame because it set 'X-Frame-Options' to 'deny'.

Refused to display in a frame because it set 'X-Frame-Options' to 'DENY'的解决办法

jiangyang100的博客

03-05

1万+

起因最近在做毕设的过程中在tab页中使用iframe应用子页出现错误。错误信息：Refused to display in a frame because it set ‘X-Frame-Options’ to ‘DENY’ 分析：由于X-Frame-Options属性设置为DENY，禁止了iframe的引用解决方案： tomcat的配置文件web.xml下添加filter &l...

Spring Boot 出现 in a frame because it set 'X-Frame-Options' to 'DENY'

weixin_30649641的博客

09-27

833

在spring boot项目中出现不能加载iframe 页面报一个"Refused to display 'http://......' in a frame because it set 'X-Frame-Options' to 'DENY'."错误解决方式：因spring Boot采取的java config，在配置spring security的位置添加： @Override ...

Refused to display xxx in a frame because it set X-Frame-Options to deny

07-27

如果你遇到了"Refused to display xxx in a frame because it set X-Frame-Options to deny"的错误，说明该页面设置了X-Frame-Options为deny，所以无法在frame中展示。这是一种安全措施，以保护网站的内容不被恶意...

Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.

YangFanJ的博客

06-29

1万+

说明：前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时，浏览器发送请求，出现解决：在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加：http.headers().frameOptions().sameOrigin()；百度查找...

layui 的嵌套页面异常Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘DENY‘

尽力漂亮的博客

10-15

1043

响应头中X-Frame-Options被设置为DENY，如下图解决方案： import org.springframework.boot.autoconfigure.EnableAutoConfiguration; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration; import org.springframework.context.annotation.Configura

X-Frame-Options头未设置防止网页被iframe内框架调用

09-30

**X-Frame-Options HTTP响应头详解** X-Frame-Options 是一种安全性设置，用于防止恶意网站通过`iframe`或`frame`标签将你的网页嵌入到他们的页面中，从而实施点击劫持（Clickjacking）攻击。点击劫持是一种网络...

in a frame because it set 'X-Frame-Options' to 'deny'.

是卿卿

03-01

1万+

该问题是做文件导出的时候遇到的。 1.在前端加 <security:http auto-config="true" use-expressions="true"> <security:headers> <security:frame-options policy="SAMEORIGIN"/> </security:hea

解决 Refused to display in a frame because it set ‘X-Frame-Options‘ to ‘deny‘.问题

rainux

02-22

7612

Code Is Never Die ! 问题：在做iframe预览PDF文件时，虽然nginx配置了X-Frame-Options SAMEORIGIN,但在iframe中仍然获取不到内容。介绍：X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 frame , iframe 或者 object 中展现的标记。网站可以使用此功能，来确保自己网站的内容没有被嵌到别人的网站中去，也从而避免了点击劫持 (clickjacking) 的攻击。只有当用户使用支持X-Frame-

Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'DENY'

qq_30908729的博客

03-19

2049

Refused to display 'xxx' in a frame because it set 'X-Frame-Options' to 'DENY' 已完美解决解决方法： X-Frame-Options是HTTP响应头是用来给浏览器指示允许一个页面可否在 frame请求数据，避免了跨站点的攻击。 X-Frame-Options 有三个值: 1.DENY 表示该...

Django报错：Refused to display ‘http://xxx‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘

凡心所向，素履以往，生如逆旅，一苇以航。

01-15

3336

在Django中使用framework时报错：Refused to display ‘http://xxx’ in a frame because it set ‘X-Frame-Options’ to ‘deny’ 原因：项目中的“X_FRAME_OPTIONS”设置不对 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在frame 中展示 “X_FRAME_OPTIONS”有三个选项值： DENY ：表示该页面不允许在 frame 中展示，即便是在相同域名的页面

django3 Refused to display ‘url‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘

陈新明博客

07-14

1677

django3 Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny' 背景使用django3进行开发时，由于项目前端页面使用iframe框架，浏览器错误提示信息如下： Refusedtodisplay'url'inaframebecauseitset'X-Frame-Options'to'deny' 根据提示信息发现是因为X-Frame-Options=deny导致的...

Spring Security：Refused to display '<URL>' in a frame because it set 'X-Frame-Options' to 'deny'.

建设美丽祖国

04-06

1886

在Security下，X-Frame-Options默认为DENY，非Spring Security环境下，X-Frame-Options的默认大多也是DENY，这种情况下，浏览器拒绝当前页面加载任何Frame页面，设置参数含义如下： DENY：浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN：frame页面的地址只能为同源域名下的页面 ALLOW-FROM：ori...

sed to display ‘http://localhost:8081/‘ in a frame because it set ‘X-Frame-Options‘ to ‘deny‘